Datenveränderung
Computersabotage
besonders schwere Computersabotage
Perspektiven der Strafverfolgung
 

 
Den Kernbereich des Schutzes der infrastrukturellen IuK-Technik siedelt der Gesetzgeber in dem Bereich der einfachen Kriminalität an, indem er ihn der Sachbeschädigung zur Seite stellt, also dem Schutz des körperlichen Gewahrsams und der Gebrauchserhaltung von körperlichen Gegenständen.

Den Einstieg bietet die Sachbeschädigung ( § 303 StGB), die die Beschädigung oder Zerstörung einer fremden Sache unter Strafe stellt. Als Reaktion auf (mehr oder weniger begnadete) Sprayer, nervende Schmierfinken ( Tagging) und zerstörungswütige Mitmenschen (z.B. Scratching) bestimmt der Gesetzgeber auch die Verunstaltung als Sachbeschädigung, auch wenn sich - mit einem gewissen Aufwand - der ursprüngliche Zustand des Gegenstandes wiederherstellen lässt ( § 303 Abs. 2 StGB).

Mit § 303a StGB verlässt der Gesetzgeber eigentlich den Bereich der Sachbeschädigung: Mit der Datenveränderung stellt er die unbefugte Vernichtung und Veränderung von Daten ungeachtet dessen unter Strafe, ob sie besonders geschützt sind oder nicht.
 

 
Daten werden damit körperlichen Gegenständen gleichgestellt. Das hat eine berechtigte Tradition, indem nicht der informatorische Inhalt (= Daten) von der Rechtspraxis betrachtet wurde, sondern die Speichermedien, auf denen er sich verkörpert.

Einfaches Fazit: Jede unerlaubte und bewusste Veränderung oder Löschung fremder Daten ist eine strafbare Datenveränderung. Das gilt für Hacker, die nicht einfach nur in fremden EDV-Systemen kucken, sondern sich auch einen Administratoren-Zugang anlegen oder ein Rootkit hinterlassen. Das gilt z.B. aber auch für die (lustigen) Cracker, die fremde Webseiten verändern und manipulieren.

Wichtig dabei ist, dass die Manipulation auf dem fremden System erfolgt. Die Installation der Botsoftware auf dem Zombie ist eine Datenveränderung (wie die Installation von Malware im Übrigen auch), weil damit auch die Registry oder andere Systemdateien verändert werden. Beim Update der Malware kann man schon Zweifel haben, ob es sich um eine Datenveränderung handelt. Sie belegt in erster Linie Systemressourcen, also Massenspeicher, und beeinträchtigt die Funktionalität des angegriffenen Systems nicht unbedingt zusätzlich.
 

 
Mit der Computersabotage ( § 303b StGB) führt der Gesetzgeber die Sachbeschädigung und die Datenveränderung wieder zusammen. Die absichtliche Zerstörung und Veränderung von Datenverarbeitungen unterwirft er seit 2007 einer erhöhten Strafdrohung, wenn sie "für einen anderen von wesentlicher Bedeutung" sind. Das betrifft auch Privatleute, z.B. im Hinblick auf aufwändige Ausarbeitungen (z.B. Gutachten und Buchführungen von Selbständigen, Examensarbeiten) die bislang ausgeblendet waren.

Aus der alten Fassung des § 303b StGB wurde Abs. 2 übernommen, der eine erhöhte Strafdrohung bestimmt, wenn es sich um eine Datenverarbeitung handelt, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist.

 
Der Regierungsentwurf von 2006 (1) weist ausdrücklich auf den Schutz von Privatpersonen und auf das begrenzende Merkmal "von wesentlicher Bedeutung" hin (E 20). Damit sollen Bagatellfälle ausgeschlossen werden. Dazu heißt es weiter (E 20):

Mit ihrer neuen Ausrichtung wendet sich die Strafvorschrift der Computersabotage nicht nur gegen den Missbrauch fremder EDV-Anlagen als solche (Hacking), sondern zielgerichtet auch gegen den Einsatz von Würmern, Trojanern und anderer Malware sowie gegen Dialer (2), Spionage- und Botnetzsoftware.

Neu eingeführt wurde § 303b Abs. 1 Nr. 2 StGB, wonach Tathandlungen unter Strafe gestellt werden, durch die Daten in Nachteilzufügungsabsicht (E 21) eingegeben oder übermittelt werden. Damit reagiert der Gesetzgeber besonders auf Denial of Service-Attacken (E 21),

bei denen die Dienste eines Servers durch eine Vielzahl von Anfragen derart belastet werden, dass dessen Aufnahme- und Verarbeitungskapazität nicht ausreicht und somit der Zugang für berechtigte Kontaktaufnahmen mit dem Server blockiert oder zumindest erschwert wird.

Wegen seiner Abgrenzungen zum Bagatellstrafrecht, das der Entwurf nicht verfolgt wissen will, und zum Einsatz gängiger Netzwerktechniken tut sich der Entwurf schwer.

Die Strafbarkeit soll deshalb erst eintreten, wenn die Störung "erheblich" ist, also "wenn eine nicht unerhebliche Beeinträchtigung des reibungslosen Ablaufs der ... Datenverarbeitung vorliegt" (E 21). Das hilft der Rechtspraxis kaum weiter und wird die Rechtsprechung besonders beschäftigen.

Der Kriminalisierung üblicher Netzwerktechniken will der Entwurf mit einem subjektiven Korrektiv begegnen, indem er die Absicht hervorhebt, "einem anderen Nachteil zuzufügen" (E 21). Absichtstatbestände haben immer den Nachteil, dass sie Unklarheiten erzeugen und schwer handhabbar sind. Auch insoweit wird die Rechtsprechung Klarheit verschaffen müssen.
 

 
Die besonders schweren Fälle der Computersabotage bedroht § 303b Abs. 4  StGB mit Freiheitsstrafe von 6 Monaten bis 10 Jahre. Es handelt sich dabei um eine Strafzumessungsregel, die keinen selbständigen Tatbestand schafft und die - nicht abschließend - Regelbeispiele benennt.

Gewerbsmäßig handelt, wer seinen Lebensunterhalt oder einen wesentlichen Teil davon dauerhaft aus kriminellen Gewinnen bestreiten will. Das dürfte besonders Auftragsprogrammierer für Spionagesoftware und Botnetzbetreiber treffen.

Bandenmäßig handeln mindestens drei zusammenwirkende Täter, wenn sie sich mit dem Ziel verbunden haben, dauerhaft Straftaten zu begehen. Das wiederum dürfte besonders auf Phishingbanden wegen der heimlichen Installation und dem Einsatz ihrer Spionagesoftware zutreffen ( Zugangsdaten "phishen" und Man in the Middle-Installationen).
 

 
Die Herbeiführung eines Vermögensverlustes großen Ausmaßes dürfte vor Allem wegen des Einsatzes von Würmern und im Zusammenhang mit DDoS-Angriffen vorliegen.

Der Schutz lebenswichtiger Güter (Abs. 4 Nr. 3) betrifft zum Beispiel öffentliche Versorgungswerke sowie die Dienstleistungen der Energie- und Bankenwirtschaft (E 22, E 23). Die Anwendung soll auf besonders gravierende Taten beschränkt bleiben (E 23), wie sich aus dem gleichrangigen Schutz der Sicherheit der Bundesrepublik Deutschland ergeben soll. Insoweit ist als Auslegungsregel in § 92 Abs. 3 Nr. 2 StGB einschlägig.

 
Der Regelungsbereich der neuen Tatbestände zur Computersabotage umfasst auch die modernen Erscheinungsformen der Cybercrime. Dennoch ist nicht zu erwarten, dass dieser Form der Kriminalität mit dem neuen Recht ernsthaft begegnet werden kann.

Mit Ausnahme der besonders schweren Computersabotage sind alle Tatbestände in den Bereich der leichten und mittleren Kriminalität angesiedelt worden. Das zwingt die Strafverfolgungspraxis im Zusammenhang mit Verhältnismäßigkeitsabwägungen zur Zurückhaltung.

Die Erhebung von Verbindungsdaten ( § 100g StPO) ist prinzipiell im Zusammenhang mit Computersabotagen per Netzverbindungen zulässig, weil das Gerät des Täters eine Endeinrichtung ist.

Die Überwachung der Telekommunikation ist im Zusammenhang mit den Erscheinungsformen der Computersabotage unzulässig ( § 100a StPO) und zwar auch in besonders schweren Fällen. Diese Unterlassungssünde wird die Strafverfolgung wegen des Phishings und gegen die Betreiber von Botnetzen nachhaltig behindern.
 

 
Dasselbe gilt für den großen Lauschangriff ( § 100c StPO), so dass eine Onlinedurchsuchung wegen Computersabotage insgesamt ausgeschlossen ist.

Verdeckte Ermittlungen im Übrigen ( § 100f Abs. 1 Nr. 2 StPO, § 100f Abs. 2 StPO, § 110a StPO) sind in schwerwiegenden Einzelfällen möglich.

Auf die schweren Erscheinungsformen der Cybercrime reagieren die neuen Vorschriften zur Computersabotage nur halbherzig und sind deshalb für die effektive Strafverfolgung nur bedingt geeignet.

Flankierende personelle und fachliche Maßnahmen sind mit den Gesetzesänderungen nicht verbunden gewesen. Deshalb ist zu erwarten, dass die neuen Strafvorschriften zwar die Strafverfolgung erleichtern, nicht aber auf die Fälle ausweiten wird, die eine Ahndung wirklich verdienen.
 

 
(1) siehe Presseerklärung: Besserer Schutz vor Hackern, Datenklau und Computersabotage, BMJ 20.09.2006;
Dort wird auch verwiesen auf den Gesetzentwurf der Bundesregierung für das Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität.
Diese Gesetzesvorlage wird hier zitiert als "E <Seitenzahl im PDF-Dokument>", also z.B. als "E 20".
Die Gesetzesänderung trat am 11.08.2007 in Kraft ( neues Hackerstrafrecht). Der Cyberfahnder unternahm eine erste Würdigung am 17.09.2007 ( neues Hackerstrafrecht).
  

 
(2) Die Strafvorschrift betrifft vor Allem den heimlichen Einsatz von Dialern oder die Betrugsvarianten ( § 263 StGB), in denen wesentliche, also in aller Regel teure Eigenschaften verschwiegen werden.

Der Einsatz eines Dialers, der nicht den Anforderungen von § 66f Abs. 1 Satz 1 TKG genügt oder nicht bei der Bundesnetzagentur registriert ist, ist eine Ordnungswidrigkeit nach § 149 TKG, die von der Bundesnetzagentur als Verwaltungsbehörde mit einer Geldbuße bis zu 100.000 € geahndet werden kann.

Siehe auch links außen: Ordnungswidrige Abzockerpraktiken;
mehr Preisangaben bei TK-Diensten.